CWE-502 on 办公AI智能小助手 https://blog.qife122.com/tags/cwe-502/ Recent content in CWE-502 on 办公AI智能小助手 Hugo zh-cn qife Sun, 11 Jan 2026 11:48:44 +0800 Python 反序列化高危漏洞 CVE-2026-22612:Fickling工具检测绕过风险详解 https://blog.qife122.com/p/python-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E-cve-2026-22612fickling%E5%B7%A5%E5%85%B7%E6%A3%80%E6%B5%8B%E7%BB%95%E8%BF%87%E9%A3%8E%E9%99%A9%E8%AF%A6%E8%A7%A3/ Sun, 11 Jan 2026 11:48:44 +0800 https://blog.qife122.com/p/python-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E-cve-2026-22612fickling%E5%B7%A5%E5%85%B7%E6%A3%80%E6%B5%8B%E7%BB%95%E8%BF%87%E9%A3%8E%E9%99%A9%E8%AF%A6%E8%A7%A3/ <h1 id="cve-2026-22612-cwe-502trailofbits-fickling-中不受信数据的反序列化漏洞---实时威胁情报">CVE-2026-22612: CWE-502:trailofbits fickling 中不受信数据的反序列化漏洞 - 实时威胁情报</h1> <p><strong>严重性:高</strong> <strong>类型:漏洞</strong> <strong>CVE编号:CVE-2026-22612</strong></p> Hugging Face Transformers 反序列化漏洞深度剖析:CVE-2025-14921技术详解 https://blog.qife122.com/p/hugging-face-transformers-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90cve-2025-14921%E6%8A%80%E6%9C%AF%E8%AF%A6%E8%A7%A3/ Mon, 05 Jan 2026 17:29:14 +0800 https://blog.qife122.com/p/hugging-face-transformers-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90cve-2025-14921%E6%8A%80%E6%9C%AF%E8%AF%A6%E8%A7%A3/ <h3 id="cve-2025-14921-cwe-502-hugging-face-transformers-中不受信数据的反序列化漏洞">CVE-2025-14921: CWE-502: Hugging Face Transformers 中不受信数据的反序列化漏洞</h3> <p><strong>严重性:高</strong> <strong>类型:漏洞</strong></p> <p><strong>CVE-2025-14921</strong></p> <p>Hugging Face Transformers Transformer-XL 模型 不受信数据反序列化 远程代码执行漏洞。该漏洞允许远程攻击者在受影响的 Hugging Face Transformers 安装上执行任意代码。利用此漏洞需要用户交互,即目标必须访问恶意页面或打开恶意文件。</p> WordPress插件反序列化高危漏洞分析:CVE-2025-14476的技术原理与防护 https://blog.qife122.com/p/wordpress%E6%8F%92%E4%BB%B6%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90cve-2025-14476%E7%9A%84%E6%8A%80%E6%9C%AF%E5%8E%9F%E7%90%86%E4%B8%8E%E9%98%B2%E6%8A%A4/ Sat, 13 Dec 2025 20:34:02 +0800 https://blog.qife122.com/p/wordpress%E6%8F%92%E4%BB%B6%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90cve-2025-14476%E7%9A%84%E6%8A%80%E6%9C%AF%E5%8E%9F%E7%90%86%E4%B8%8E%E9%98%B2%E6%8A%A4/ <p><strong>CVE-2025-14476: unitecms Doubly – Cross Domain Copy Paste for WordPress插件中的CWE-502不受信任数据反序列化漏洞</strong></p> <p><strong>严重性:高</strong> <strong>类型:漏洞</strong> <strong>CVE: CVE-2025-14476</strong></p> <p>Doubly – Cross Domain Copy Paste for WordPress插件在所有版本(包括1.0.46及之前版本)中存在PHP对象注入漏洞。该漏洞源于对用户上传的ZIP压缩包内<code>content.txt</code>文件数据的不安全反序列化。这使得拥有订阅者(Subscriber)及以上级别访问权限的认证攻击者能够注入PHP对象。同时,由于存在属性导向编程(POP)链,攻击者可根据环境中可用的代码“小工具”(gadgets)执行任意代码、删除文件、窃取敏感数据或进行其他操作。此漏洞仅在管理员明确启用了订阅者上传权限时才可被订阅者利用。</p>